São Paulo — InkDesign News — Uma nova família de ransomware, chamada Charon, está utilizando técnicas sofisticadas semelhantes às de grupos de ameaças persistentes avançadas (ATP), representando um risco significativo para organizações, conforme relatado pela Trend Micro.
Vetor de ataque
A técnica principal de Charon envolve o uso de DLL sideloading, onde um arquivo legítimo do navegador Edge.exe é usado para carregar um DLL malicioso, msedge.dll, que executa o payload do ransomware. Essa abordagem permite que o malware se disfarce como um serviço legítimo do Windows, evitando controles de segurança convencionais. Além disso, a campanha emprega injeção de processos e capacidades anti-EDR, características tipicamente associadas a atores de ameaças avançadas.
Impacto e resposta
O impacto de Charon é profundo, pois suas táticas podem comprometer dados locais e em rede, dificultando os esforços de recuperação. As vítimas recebem um pedido de resgate personalizado, o que sugere um ataque direcionado. Segundo os pesquisadores, “
O fluxo de ataque aponta para uma tendência preocupante de adoção de técnicas de nível ATP por operadores de ransomware.
(“The attack flow points to a concerning trend of APT-level techniques being adopted by ransomware operators.”)— Pesquisadores, Trend Micro
“.
O uso de um log aparentemente benigno, DumpStack.log, como meio para extrair o payload do ransomware demonstra uma sofisticação técnica que eleva o risco para as organizações.
Análise e recomendações
Para mitigar os riscos apresentados pelo Charon, a Trend Micro recomenda que as organizações implementem uma abordagem de defesa em múltiplas camadas. Isso inclui o endurecimento contra a técnica de DLL sideloading por meio da limitação de quais executáveis podem ser executados e quais DLLs podem ser carregadas. É importante criar alertas para cadeias de processos suspeitas, além de monitorar DLLs não assinadas colocadas ao lado de binários legítimos.
Adicionalmente, as empresas devem garantir que soluções de EDR e antivírus tenham capacidades que previnam desabilitações ou desinstalações, além de restringir o movimento lateral entre estações de trabalho e servidores.
À medida que o Charon e técnicas similares se tornam mais prevalentes, é crucial que a comunidade de segurança cibernética se mantenha vigilante e continue a atualizar suas defesas contra essas ameaças cada vez mais sofisticadas.
Fonte: (Dark Reading – Segurança Cibernética)
